Aggregator

MHT：时间在流动！时间在流动！在跳舞！木大木大木大木大木大！

* 距离上次发文已经过去整整两年了，JavaScript Obfuscator版本都升级到了v5.3.0，让我们来看看它都进行了哪些优化调整和功能升级。JavaScript Obfuscator ToolJavaScript Obfuscator官网目前主推的是付费版 VM Obfuscation（虚拟机字节码混淆） 。不过，我们还是先聚焦于它免费开源部分的混淆工具来分析。首先，快速过一遍v5.3

Pragyan CTF 2026 解题思路分享。比赛于北京时间2月8日21点结束，以下是我在两天内独立完成的部分题目的详解。

本文章主要记录cyberstrikelab的lab17打靶过程

对mssql&mysql一次简洁且详细的总结

一些隐写方式和解题方法的总结及shp与vxl文件格式的简介

第二届“启航杯”网络安全挑战赛应急溯源全解

re的进阶的知识，补充常见的理论以及新出现的wasm类型

2026年新春杯Misc方向所有题目的正反手解析

该漏洞出自Xiaomi路由器BE10000 Pro 稳定版 存在授权后远程RCE漏洞

记一次漏洞挖掘，借鉴的是D-Link DIR 615645815 service.cgi远程命令执行漏洞的思路，定位system危险函数，然后去看看能否控制参数等。

本文将大部分沙箱的内容做了小结，针对不同沙箱类型对绕过手法进行了分类，内容较多敬请谅解

结合Redis未授权与模板注入，构造无回显SSRF/SSTI利用链获取flag，并给出端口白名单修复方案。

某企业MES泄露源码审计

针对25年较新的一套SpringBoot+Vue在线教育(在线学习)系统进行代码审计

对RCTF25 maybe_easy进行分析，聚焦于动态代理类的搜索

针对厂区接入云端高敏AI模型的迫切需求，本文提出采用IPsec VPN实现低成本、高安全的云地互联方案。文章简述IPsec工作原理，并提供可参考的实战架构拓扑、加密策略、访问控制的安全实战落地指南。

记一次微信小程序 Authorization 头伪造与渗透测试过程

York 是一台专家级高难度靶机，全程无简单漏洞，全程考验漏洞挖掘、代码审计、二进制 Pwn 与 Linux 提权能力。从 SQL 盲注、2FA 算法破解、ROP 链绕过 NX 保护，到格式化字符串泄露 Canary、栈溢出绕过保护机制，再到最终路径劫持拿下 root，每一步都是硬核攻防。整套渗透链环环相扣，是极具挑战的进阶实战靶机。

安卓设备APatch部署及利用KPM模块实现InlineHook及SyscallHook技术